Niektórych haseł użytkowników nie można zsynchronizować

Jeśli synchronizacja haseł nie synchronizuje niektórych haseł, wykonaj te czynności, aby rozwiązać problem.

Krok 1. Sprawdź, czy Password Sync jest prawidłowo zainstalowany

Sprawdź, czy funkcja Password Sync została zainstalowana na wszystkich serwerach Microsoft Active Directory (AD) w domenie (kontrolerach domeny) z możliwością zapisu:

  1. Sprawdź, na których kontrolerach domeny jest zainstalowana funkcja Password Sync, za pomocą narzędzia pomocy Password Sync. Wykonaj czynności opisane w sekcji Opcja 1. Automatyczne rozwiązywanie problemów.

  2. Aby znaleźć listę kontrolerów domeny z możliwością zapisu, otwórz wiersz polecenia i wpisz to polecenie:

    findstr /S /C:"A:Creating" PasswordSyncSupportTool.log

    Jeśli nie masz pewności, które kontrolery domeny mają możliwość zapisu, zainstaluj Password Sync na wszystkich kontrolerach domeny. Nie spowoduje to żadnych problemów.

  3. Sprawdź raport i upewnij się, że w folderze każdego kontrolera domeny znajduje się plik service_*.txt, który wskazuje, że usługa jest uruchomiona.

    W folderze znajdziesz 2 pliki, które wskazują, że usługa jest niedostępna, oraz 1 plik, który potwierdza, że usługa działa.

  4. Spróbuj zmienić hasło i sprawdź, czy narzędzie synchronizuje się w oczekiwany sposób. Jeśli problem nadal występuje, przejdź do następnego kroku.

Krok 2. Sprawdź uprawnienia użytkownika

Użytkownicy nie mogą zmieniać haseł użytkowników posiadających wyższe uprawnienia. Zwykły administrator nie może na przykład zmieniać haseł superadministratora. Więcej informacji o rolach znajdziesz w artykule Przypisywanie określonych ról administratora.

  1. W przypadku użytkownika, który ma problem, sprawdź, czy uprawnienia administratora konta Google nie przekraczają uprawnień administratora, które skonfigurował synchronizację haseł.
  2. Spróbuj zmienić hasło i sprawdź, czy narzędzie synchronizuje się w oczekiwany sposób. Jeśli problem nadal występuje, przejdź do następnego kroku.

Krok 3. Sprawdź adresy e-mail

  1. W Synchronizacji haseł sprawdź, czy adresy e-mail użytkowników zostały dodane w odpowiednim polu Atrybut poczty. Adresy muszą być w pełni zgodne z podstawowymi adresami e-mail Google (łącznie z częścią domeny w adresie). Więcej informacji znajdziesz w artykule Konfigurowanie ustawień usługi Active Directory.
  2. Spróbuj zmienić hasło i sprawdź, czy narzędzie synchronizuje się w oczekiwany sposób. Jeśli problem nadal występuje, przejdź do następnego kroku.

Krok 4. Sprawdź, czy hasło jest prawidłowe

Jeśli hasło nie jest synchronizowane, ponieważ zawiera nieobsługiwane znaki, w dzienniku zdarzeń aplikacji Windows pojawi się to ostrzeżenie:

Nowe hasło zawiera nieobsługiwane znaki. Nie można zaktualizować tego hasła na koncie Google, przez co nie jest ono zsynchronizowane z AD.

  1. Znajdź hasło i zmień je zgodnie z wytycznymi. Więcej informacji znajdziesz w artykule Tworzenie silnego hasła i zwiększanie bezpieczeństwa konta.
  2. Sprawdź, czy narzędzie synchronizuje się w oczekiwany sposób. Jeśli problem nie zniknie, przejdź do sekcji Nadal potrzebuję pomocy (poniżej).

Nadal potrzebuję pomocy

Jeśli nie możesz rozwiązać problemu, wykonując poprzednie czynności, wykonaj te czynności.

Krok 1. Znajdź przykład

  1. Znajdź przypadek zmiany hasła w AD, która nie została zsynchronizowana z Google.
  2. Sprawdź, czy użytkownik nie zmienił hasła AD od pierwszej zmiany.
  3. Zanotuj dokładny czas zmiany hasła w AD oraz nazwę i adres e-mail użytkownika.

Krok 2. Zweryfikuj zmianę hasła

Sprawdź, czy sygnatura czasowa atrybutu pasuje do czasu zmiany hasła przez użytkownika.

  1. Użyj narzędzi administracyjnych AD, takich jak ADSIEdit lub LDIFDE, aby znaleźć i skopiować atrybut pwdLastSet dla użytkownika. Wartość atrybutu to liczba 100-nanosekundowych interwałów od 1 stycznia 1601 roku (UTC). Szczegółowe informacje o tym atrybucie znajdziesz w artykule na temat atrybutu Pwd-Last-Set.
  2. Otwórz funkcję kodowania/dekodowania w Narzędziu administracyjnym Google.
  3. Wybierz Dekodowanie pwdLastSet/FILETIME.
  4. W polu Wklej poniżej tekst do zakodowania/odkodowania wklej atrybut liczbowy z AD i kliknij Prześlij.

    Narzędzia wyświetlają dekodowaną wartość czasu w Twojej lokalnej strefie czasowej i UTC.

  5. Jeśli sygnatura czasowa nie pasuje do czasu zmiany hasła użytkownika, usługa AD nie przetworzyła tej zmiany. Rozwiąż problemy z hasłem w AD i spróbuj ponownie.

Krok 3. Sprawdź problem

  1. W konsoli administracyjnej Google otwórz Menu  a potem Raportowanie a potemKontrola i analiza zagrożeń a potemZdarzenia z dziennika administratora.

    Wymaga uprawnień administratora Kontrola i analiza zagrożeń.

  2. Wyszukaj zdarzenia zmiany hasła dla użytkownika, aby sprawdzić, czy hasło zostało zmienione w ciągu 1–2 minut od sygnatury czasowej w atrybucie pwdLastSet. Pamiętaj, aby wziąć pod uwagę różnice w strefach czasowych. Więcej informacji o zdarzeniach z dziennika znajdziesz w artykule Zdarzenia z dziennika administratora.
  3. Jeśli w odpowiednim czasie w zdarzeniach z dziennika znajdziesz zdarzenie zmiany hasła, sprawdź te kwestie:
    1. Sprawdź, czy administrator, który zmienił hasło, to ten administrator, który autoryzował synchronizację haseł w dziennikach. Jeśli to ten sam administrator, Password Sync działa zgodnie z oczekiwaniami.
    2. Sprawdź, czy inne źródła zmieniły hasło użytkownika Google po jego zsynchronizowaniu (co spowodowało utratę synchronizacji hasła z AD). Rozwiąż problem, zanim spróbujesz ponownie.

Krok 4. Utwórz raport narzędzia pomocy do synchronizacji haseł

Aby utworzyć raport, musisz zebrać dzienniki i szczegóły funkcji Password Sync ze wszystkich kontrolerów domen dostępnych do zapisu w jednym folderze. Aby to zrobić, wykonaj czynności opisane w sekcji Opcja 1. Automatyczne rozwiązywanie problemów.

Krok 5. Znajdź kontroler domeny odpowiedzialny za zmianę hasła

  1. Otwórz wiersz polecenia i za pomocą polecenia cd przejdź do katalogu, w którym w poprzednim kroku utworzono raport.

    Przykład: cd C:\Users\yourname\Desktop\PasswordSyncSupportTool_20240717_142555

  2. Aby wyszukać nazwę użytkownika w AD, użyj polecenia findstr.

    Przykłady znajdziesz w sekcji Przykłady: używanie polecenia findstr (poniżej).

  3. Jeśli znajdziesz kilka plików dziennika z tą samą nazwą użytkownika, wybierz plik, w którym sygnatura czasowa dziennika jest zgodna z czasem w atrybucie pwdLastSet. Pamiętaj, aby wziąć pod uwagę różnice w strefach czasowych.
  4. W dzienniku sprawdź wiersze, w których pojawia się nazwa użytkownika, aby znaleźć powiązany komunikat o błędzie lub kod błędu.

    Więcej informacji o błędach znajdziesz w artykule Kody błędów i komunikaty o błędach w Password Sync.

  5. Jeśli nie możesz znaleźć nazwy użytkownika, sprawdź, czy funkcja Password Sync jest zainstalowana na wszystkich kontrolerach domeny z możliwością zapisu. Szczegółowe informacje znajdziesz w sekcji poświęconej sprawdzaniu prawidłowej instalacji Password Sync (powyżej).

  6. Jeśli problem nadal występuje, skontaktuj się z zespołem pomocy Google Workspace. Podaj te informacje:
    • Plik ZIP raportu narzędzia pomocy Password Sync
    • Adres e-mail użytkownika i czas zmiany hasła.
    • zrzut danych użytkownika w formacie LDIF (LDAP Data Interchange Format);

    Szczegółowe informacje o tym, jak skontaktować się z zespołem pomocy, znajdziesz w artykule Kontakt z zespołem pomocy Google Workspace.

Przykłady: używanie polecenia findstr

Przykład 1. To polecenie wyszukuje w bieżącym katalogu i jego podkatalogach pliki dziennika zawierające nazwę użytkownika (niezależnie od wielkości liter). W oknie wiersza polecenia możesz sprawdzić nazwę pliku pasujących plików dziennika.

findstr /S /I /M /C:"username" *.log

Przykład 2. To polecenie wyszukuje w bieżącym katalogu i jego podkatalogach pliki dziennika zawierające nazwę użytkownika (niezależnie od wielkości liter). W oknie wiersza polecenia możesz sprawdzić nazwę pliku pasujących plików dziennika i numer wiersza, który zawiera nazwę użytkownika.

findstr /S /I /N /C:"username" *.log


Google, Google Workspace i znaki pokrewne są znakami towarowymi Google LLC. Wszystkie inne nazwy firm i produktów są znakami towarowymi odpowiednich podmiotów.